Marzuki, Ada beberapa perkara kena buat.
1) Identify Account yang compromised dan cara spam di hantar. Cara account di compromised banyak cara, selain dari weak password. Ini banyak berlaku. Dan seperti rakan2 lain sebut ada banyak cara nak enforce user securekan password dia dalam zimbra. Ada 2 cara spam email di hantar oleh mereka menggunakan akaun pengguna. Bergantung anda punya feature yang di benarkan. a) Melalui webmail interface Dia akan tukar preference seperti reply to, name dan lain-lain termasuk kadangnya setkan forwarding semua email yang masuk. Email akan dihantar menggunakan webmail interface. Identify: Cara ini senang identify account yang di compromised, sebab dalam email queue, kita akan nampak pengguna kita menghantar terlalu banyak email. b) Melalui email client dan relay melalui SMTP server email. Jika server anda enable kan fungsi ini, iaitu, pengguna buleh menggunakan klien emel seperti thunderbird, outlook dan sebagainya untuk menghantar emel dari luar. Bila spammer tersebut dapat username dan password, mereka akan gunakan klien emel tersebut untuk hantar beribu2 emel. Mereka akan set out going email server adalah server anda, dan authentucate mengunakan akaun pengguna anda. Kebiasaannya spammer ini akan menukarkan header "FROM" yang bukannya domain anda seperti [email protected]. Identify: Agak susah nak identify sebab dalam email queue anda akan nampak sender adalah [email protected]. Kita mesti identify apa pengguna asal. Cara identify: i) email queue - dari admin interface. Tengok siapa yang banyak hantar email (jika masih queue) - dari cmd line sebagai zimbra user. type: mailq <-- mungkin list terlalu panjang. ii) dari /opt/zimbra/audit.log* - tengok berapa kerap login dari ip-ip luar iii) dari /var/log/zimbra.log Ini sesuai untuk emel yang dihantar melalui emel client menggunakan SMTP. cari/grep sasl_method atau sasl_username Kita akan dapat banyak lagi login untuk menghantar emel 2) Modify Account Tindakan seterusnya setelah dapatkan akaun yang di compromised. a) TUKAR PASSWORD melalui web admin b) Check preference pada akaun user seperti persona dan forwarding 3) Remove all spam messages Kadang kala ini agak sukar kalau terlalu banyak emel yang masih queue. a) Dari admin interface - remove queue b) Dari command line Memandangkan zimbra menggunakan postfix, jadi cuba gunakan script Ini: http://www.ustrem.org/en/articles/postfix-queue-delete-en/ Tukarkan path postqueue dan postsuper ke zimbra punya: /opt/zimbra/postfix/sbin/postqueue dan /opt/zimbra/postfix/sbin/postsuper Tukarkan part perl jika perlu. Larikan skrip tersebut guna user root. Syntax: Contoh nama skrip: pfdel Jadi, larikan begini: ./pfdel [email protected] Di mana alamat emel itu adalah alamat pengirim. Kalau alamatnya adalah pengguna kita seperti [email protected], lakukan seperti di atas On Tue, Sep 20, 2011 at 8:49 PM, MASOKIS <[email protected]> wrote: > > Oh.. thanks for the tips! > > > On Tue, Sep 20, 2011 at 12:34 PM, Sharuzzaman Ahmat Raslan < > [email protected]> wrote: > >> zimbra have option to lock the account after 3 or more attempt. please >> enable that feature. >> >> once your account is locked, you can be sure that someone out there is >> brute forcing your password. >> >> >> >> >> On Tue, Sep 20, 2011 at 12:26 PM, Umarzuki Mochlis <[email protected]>wrote: >> >>> >>> >>> 2011/9/20 Sharuzzaman Ahmat Raslan <[email protected]> >>> >>>> I have experience working with a web-based email system that a cracker >>>> brute-force the user password, and once they got the password, they login >>>> to >>>> the interface to send spam automatically. >>>> >>>> may I know what web interface that you use? >>>> >>>> change your password to something else using 20 random character. use >>>> KeePass if necessary. >>>> >>>> thanks for the tip. >>> >>> i'm using zimbra 7.1 >>> >>> -- >>> Regards, >>> >>> Umarzuki Mochlis >>> http://debmal.my >>> >>> -- >>> To unsubscribe from and detail about this group >>> http://portal.mosc.my/osdc-my-mailing-list-information >>> >>> OSDC.my Discussion Group In Facebook >>> http://www.facebook.com/groups/osdcmalaysia/ >>> >>> Malaysia Open Source Conference 2012 >>> MOSC2012 http://portal.mosc.my/ >>> >> >> >> >> -- >> Sharuzzaman Ahmat Raslan >> >> -- >> To unsubscribe from and detail about this group >> http://portal.mosc.my/osdc-my-mailing-list-information >> >> OSDC.my Discussion Group In Facebook >> http://www.facebook.com/groups/osdcmalaysia/ >> >> Malaysia Open Source Conference 2012 >> MOSC2012 http://portal.mosc.my/ >> > > > > -- > VISIT ME @ HTTP://WWW.MASOKIS.COM > > > -- > To unsubscribe from and detail about this group > http://portal.mosc.my/osdc-my-mailing-list-information > > OSDC.my Discussion Group In Facebook > http://www.facebook.com/groups/osdcmalaysia/ > > Malaysia Open Source Conference 2012 > MOSC2012 http://portal.mosc.my/ > -- To unsubscribe from and detail about this group http://portal.mosc.my/osdc-my-mailing-list-information OSDC.my Discussion Group In Facebook http://www.facebook.com/groups/osdcmalaysia/ Malaysia Open Source Conference 2012 MOSC2012 http://portal.mosc.my/
